Privacy by design, ou privacidade desde a concepção, é uma estratégia para o desenvolvimento de um produto ou serviço privilegiando a privacidade e proteção de dados desde o início do projeto.
Para uma startup isso significa que seus idealizadores devem refletir desde do início sobre se sua ideia de negócio compactua e se preocupa em garantir a privacidade e a proteção dados de seus usuários. Nesse contexto, pode se dizer que algumas das maiores empresas da atualidade, que tem no centro do seu modelo de negócio o uso contínuo dos dados de seus usuários, não adotam esse tipo de estratégia.
Mas se as empresas mais bem-sucedidas da atualidade não adotam essa tática, por que então os idealizadores de uma startup deveriam agir dessa forma? Privilegiar a privacidade do usuário desde a concepção de seu projeto pode minimizar riscos de vazamentos, seja de informações da empresa ou de outras partes, o que no longo prazo pode ser mais simples e mais barato do que agir de forma reativa. Da mesma forma, a medida ajuda a construir a confiança das pessoas em seu negócio, assim como pode ser encarada como uma estratégia de diferenciação perante a concorrência.
Não obstante, do ponto vista legal a adoção da privacidade desde a concepção como padrão é uma tendência mundial. A GDPR (General Data Protection Rule) da União Europeia, por exemplo, que entra em vigor em maio de 2018, sugere, em seu artigo 25, mecanismos para a adoção desse princípio, tal como:
- a pseudoanonimação dos dados pessoais, o que significa tornar esses dados não diretamente identificáveis em relação a identidade do seu titular;
- a adoção de técnicas e medidas organizacionais apropriadas para garantir que, por regra, apenas serão processados dados pessoais necessários a propósitos específicos. Essa obrigação inclui a quantidade de dados pessoais coletados, a extensão do seu processamento e o período disponível de armazenamento e acessibilidade.
Se uma startup, por exemplo, armazena ou pretende armazenar seus dados em uma empresa localizada no velho continente ou tem como público-alvo cidadãos localizados na UE, será preciso adotar a essa metodologia de desenvolvimento dos seus produtos e serviços. Em paralelo, as discussões no Brasil em torno dos projetos de uma lei geral de proteção de dados, e outros tópicos relacionados a privacidade, estão atentos a essa prática.